הסוכנות לאבטחת סייבר ותשתיות (CISA) וה-FBI, בתיאום עם המרכז האוסטרלי לאבטחת סייבר, פרסמו אזהרה מעודכנת בנוגע לניצול פרצת Citrix Bleed על ידי תוכנת הכופר LockBit 3.0. קבוצת פשעי סייבר זו, הקשורה לרוסיה, התמקדה בחברת בת של חברת בואינג (NYSE:BA), תוך ניצול פגם שלא זוהה בעבר במערכות סיטריקס, אשר נוצל בחשאי במשך שבועות לפני שתוקן באוקטובר 2023.
הייעוץ המעודכן כולל תובנות לגבי ההתקפות הראשוניות שקדמו למאמצים של אוקטובר לתקן את הפגיעות, הידועות בשם CVE-2023-4966. מנדיאנט אישרה את המתקפות המוקדמות הללו, והפרטים נמסרו בהתבסס על המפגש של בואינג עצמה עם הזן הספציפי הזה של תוכנות כופר. אריק גולדשטיין, עוזר מנכ"ל CISA, חשף אינדיקטורים לפשרה (IOCs) וטקטיקות, טכניקות ונהלים (TTP) שנצפו במהלך התקרית.
מוקדם יותר החודש, לוקביט הוציאה דרישת כופר לבואינג ב-2 בנובמבר והסירה לזמן קצר את החברה מאתר דליפת הנתונים שלה, רק כדי לרשום אותם מחדש עם תאריך יעד חדש שנקבע ל-10 בנובמבר. מהלך זה רמז כי ייתכן שהתנהל משא ומתן על כופר. למרות שבואינג הכירה באירוע אבטחת סייבר בחברת הבת שלה, היא לא סיפקה פרטים על תוכנת הכופר או על הקשר שלה ל-Citrix Bleed באותה עת.
שיתוף הפעולה בין בואינג ל-FBI היה חיוני כדי להתריע בפני כמעט 300 גופים על נקודות התורפה של המערכות שלהם, שמילאו תפקיד משמעותי בתגובה לאיום אבטחת סייבר זה. אריק גולדשטיין מ-CISA הדגיש את הפוטנציאל של פושעי סייבר ושחקנים מדינתיים לנצל את Citrix Bleed לגניבת נתונים או להשיג גישה נוספת לרשתות. הוא גם שיבח את בואינג על שיתוף הפעולה בין המגזר הציבורי לפרטי בעקבות מתקפת LockBit על חברת ההפצה בואינג, שסיפקה ל-CISA נתונים טכניים משמעותיים.
LockBit 3.0 הייתה פעילה במספר מתקפות סייבר בעלות פרופיל גבוה, כולל אלה נגד ICBC, הדואר המלכותי הבריטי וחברת פינטק בריטית. לאחר שמתקפת סייבר הורידה את אתר החלפים של בואינג מהרשת באוקטובר 2023, LockBit שחררה מסמכי חברה לכאורה באינטרנט לאחר תום תאריך היעד הראשוני לכופר. בואינג טוענת כי אין סיכון לבטיחות הטיסה הנובע מהפרה זו.
מאמר זה נוצר ותורגם בתמיכת AI ונבדק על ידי עורך. לקבלת מידע נוסף, עיין בתנאים והתניות שלנו.